在 適用於端點的 Microsoft Defender 中開始使用疑難解答模式
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
適用於端點的 Microsoft Defender 中的疑難解答模式可讓系統管理員針對各種 Microsoft Defender 防病毒軟體功能進行疑難解答,即使裝置是由組織原則管理也一樣。 例如,如果啟用 竄改保護 ,則無法修改或關閉 某些設定 ,但您可以在裝置上使用疑難解答模式來暫時編輯這些設定。
根據預設,疑難解答模式會停用,而且需要您針對裝置 (和/或裝置群組開啟,) 一段有限的時間。 疑難解答模式僅限企業功能,需要 Microsoft Defender 入口網站存取權。
提示
- 在疑難解答模式中,您可以在 Windows 裝置上使用 PowerShell 命令
Set-MPPreference -DisableTamperProtection $true。 - 若要檢查 竄改保護的狀態,您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中,尋找
IsTamperProtected或RealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。) 。
開始之前有哪些須知?
在疑難解答模式中,您可以使用PowerShell命令 Set-MPPreference -DisableTamperProtection $true ,或在用戶端操作系統上使用資訊安全中心應用程式,暫時停用裝置上的竄改保護,並進行必要的組態變更。
使用疑難解答模式來停用/變更竄改保護設定以執行:
- Microsoft Defender 反病毒軟體功能疑難解答/應用程式相容性 (誤判應用程式區塊) 。
具有適當許可權的本機系統管理員可以變更通常由原則鎖定之個別端點上的設定。 在診斷 Microsoft Defender 防病毒軟體效能和相容性案例時,讓裝置處於疑難解答模式會很有説明。
本機系統管理員無法關閉 Microsoft Defender 防病毒軟體,或將其卸載。
本機系統管理員可以在 Microsoft Defender 防病毒軟體套件 (中設定所有其他安全性設定,例如雲端保護、竄改保護) 。
具有「管理安全性設定」許可權的系統管理員有權開啟疑難解答模式。
適用於端點的 Microsoft Defender 在整個疑難解答程式中收集記錄和調查數據。
在疑難解答模式開始之前,會建立的
MpPreference快照集。在疑難解答模式到期之前,會建立第二個快照集。
也會收集疑難解答模式期間的作業記錄。
系統會收集記錄和快照集,並可供系統管理員使用裝置頁面上的 [ 收集調查套 件] 功能進行收集。 Microsoft在系統管理員收集此數據之前,不會從裝置移除此數據。
系統管理員也可以在裝置本身的 事件檢視器 中,檢閱在疑難解答模式期間發生的設定變更。
- 開啟 [事件檢視器],然後展開 [Windows Defender>]Microsoft> [應用程式和服務記錄>],然後選取 [操作]。
- 可能的事件可能包括標識碼為 5000、5001、5004、5007 等的事件。 如需詳細資訊,請參閱檢閱事件記錄檔和錯誤碼,以針對 Microsoft Defender 防病毒軟體的問題進行疑難解答。
疑難解答模式會在達到到期時間之後自動關閉, (持續 4 小時) 。 到期之後,所有受原則管理的組態都會再次變成只讀,並還原為裝置的設定方式,再啟用疑難解答模式。
從 Microsoft Defender 全面偵測回應 傳送命令到在裝置上變成作用中的時間,最多可能需要 15 分鐘的時間。
當疑難解答模式開始和疑難解答模式結束時,會將通知傳送給使用者。 也會傳送警告,指出疑難解答模式即將結束。
疑難解答模式的開始和結束會在裝置頁面上的 [裝置時程表 ] 中識別。
您可以在進階搜捕中查詢所有疑難解答模式事件。
注意事項
當裝置處於疑難解答模式時,原則管理變更會套用至裝置。 不過,在疑難解答模式到期之前,變更不會生效。 此外,Microsoft Defender 疑難解答模式期間不會套用防病毒軟體平臺更新。 當疑難解答模式以 Windows 更新結束時,就會套用平臺更新。
必要條件
執行 Windows 10 (19044.1618 版或更新版本的裝置,) 、Windows 11、Windows Server 2019 或 Windows Server 2022。
半年度/紅石 操作系統版本 發行 21H2/SV1 >=22000.593 KB5011563:Microsoft更新類別目錄 20H1/20H2/21H1 >=19042.1620
>=19041.1620
>=19043.1620KB5011543:Microsoft更新類別目錄 Windows Server 2022 >=20348.617 KB5011558:Microsoft更新類別目錄 Windows Server 2019 (RS5) >=17763.2746 KB5011551:Microsoft更新類別目錄 針對 Windows Server 2012 R2 和 Windows Server 2016 執行新式統一解決方案的機器,也可使用疑難解答模式。 使用疑難解答模式之前,請確定下列所有元件都是最新狀態:
- sense version
10.8049.22439.1084or later (KB5005292: Microsoft Update Catalog) - Microsoft Defender 防病毒軟體 - 平臺:
4.18.2207.7或更新版本 (KB4052623:Microsoft更新類別目錄) - Microsoft Defender 防病毒軟體 - 引擎:
1.1.19500.2或更新版本 (KB2267602:Microsoft更新類別目錄)
- sense version
若要套用疑難解答模式,適用於端點的 Microsoft Defender 在裝置上必須是租用戶註冊且作用中。
裝置必須主動執行 Microsoft Defender 防病毒軟體 4.18.2203 版或更新版本。
啟用疑難解答模式
移至 Microsoft Defender 入口網站 (https://security.microsoft.com) ,然後登入。
流覽至您想要開啟疑難解答模式之裝置的裝置頁面/計算機頁面。 選 取 [開啟疑難解答模式]。 您必須具有 適用於端點的 Microsoft Defender 的「在資訊安全中心管理安全性設定」許可權。
注意事項
即使裝置不符合疑難解答模式的必要條件,所有裝置上仍可使用 [ 開啟疑難解答模式 ] 選項。
確認您想要開啟裝置的疑難解答模式。
[裝置] 頁面會顯示裝置現在處於疑難解答模式。
進階搜捕查詢
以下是一些預先建置的進階搜捕查詢,可讓您查看環境中發生的疑難解答事件。 您也可以使用這些查詢來 建立偵測規則 ,以在裝置處於疑難解答模式時產生警示。
取得特定裝置的疑難解答事件
藉由將個別行批注化,以依 deviceId 或 deviceName 搜尋。
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
目前處於疑難解答模式的裝置
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
依裝置的疑難解答模式實例計數
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
總計計數
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
相關文章
提示
效能提示由於各種因素,Microsoft Defender 防病毒軟體和其他防病毒軟體一樣,可能會在端點裝置上造成效能問題。 在某些情況下,您可能需要調整 Microsoft Defender 防病毒軟體的效能,以減輕這些效能問題。 Microsoft效能 分析器 是一種 PowerShell 命令行工具,可協助判斷哪些檔案、檔案路徑、進程和擴展名可能會造成效能問題;一些範例包括:
- 影響掃描時間的最上層路徑
- 影響掃描時間的熱門檔案
- 影響掃描時間的熱門程式
- 影響掃描時間的最上層擴展名
- 組合 - 例如:
- 每個擴充功能的頂端檔案
- 每個擴充功能的最上層路徑
- 每個路徑的前置進程
- 每個檔案的最上層掃描
- 每個進程每個檔案的掃描數目最高
您可以使用效能分析器所收集的信息,進一步評估效能問題並套用補救動作。 請參閱:Microsoft Defender 防病毒軟體的效能分析器。
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。